Design do servidor dns considerando

Nem todo mundo tem a experiência necessária para projetar soluções para aplicações de nível de infra-estrutura, tais como DNS (ou para Web e e-mail, mas isso é outro assunto). Se você seguir um conjunto básico de diretrizes, no entanto, você pode ter um servidor DNS estável e escalável sem muito incômodo. Estabilidade e escalabilidade são as duas qualidades que todos os arquitetos se esforçam para. Claro, os servidores DNS pode ser implementado em outras maneiras-todo administrador de sistemas aparentemente tem seus próprios truques para configurar o sistema. Tenha em mente que cada truque inteligente você usar na configuração de um sistema é mais uma dor de cabeça que você tem quando você estiver solucionando o sistema mais tarde. Mantenha a simplicidade, e sua sanidade mental vai agradecer.

Mantendo o servidor seguro

Segurança é fundamental quando você está configurando um servidor DNS. Você pode pensar que a segurança é verdadeiramente importante somente em um cenário Internet Service Provider (ISP), para evitar Web page hijacking ou e-mail spoofing, mas é igualmente importante em um ambiente corporativo. segurança do DNS é muito importante em um ISP. Se um intruso obtiver acesso ao seu servidor DNS, ele pode apontar registros para outros servidores que contêm páginas da Web desfigurados, que é tão bom quanto o acesso ao servidor Web original em si e desfigurar a página. o acesso do intruso também pode ser usado para alterar o registro MX para um domínio, o que tem consequências ainda piores. Ao apontar o registro MX para um servidor de correio, os controles de intrusão e até toma posse do domínio através da apresentação de alterações ao registo de domínio. Note-se que essa insegurança não é tanto uma falha na infra-estrutura DNS, pois é culpa dos administradores de domínio que usam Mail-to como um método de autenticação para seus domínios.

segurança do DNS é igualmente importante em um ambiente corporativo, embora tenha uma importância mais sutil. O problema em um ambiente corporativo é o mesmo que em um ISP: Um intruso pode alterar os registros DNS para apontar para um servidor que ele controla. Neste caso, ele pode roubar dados importantes, fazendo usuários pensam que ele vai para um servidor real quando se está realmente indo para o servidor desonestos. Lembre-se que a maioria dos ataques a redes corporativas vêm de dentro da corporação, assim, a segurança do DNS é importante, mesmo se você tiver um firewall ou mesmo sem ligação à Internet.

O DNS não ser executado em vácuo. Não só devem ser assegurados o seu serviço de DNS, mas o sistema operacional que você usa e o servidor físico também precisa ser cuidadosamente examinado e testado. Mesmo que você tenha assegurado os serviços de DNS corretamente, tudo é em vão se um intruso rede pode ganhar o controle Administrativo- ou de nível de raiz do servidor que hospeda DNS.



Talvez o mais óbvio, você deve proteger fisicamente o servidor em um local onde somente usuários autorizados possam ter acesso. Você também deve restringir, utilizando políticas de sistema operacional, o pessoal não administrativas de ser capaz de fazer logon no servidor. Regularmente verificar com o fornecedor do sistema operacional para atualizações de software e alertas de segurança. A segurança do servidor que hospeda DNS é “Trabalho # 1” - se você deixá-lo deslizar, você provavelmente vai se arrepender.

Em caso de emergência

Quando planear a sua infra-estrutura de DNS, você sempre precisa ter pelo menos dois servidores DNS para fins de redundância. Se um servidor cair, o outro ainda pode servir clientes. servidores DNS em muitos casos não são redundantes, mas essa situação absolutamente não é recomendado. Se você estiver usando um único servidor DNS e ele falhar, você provavelmente terá a difícil tarefa de responder lotes de telefonemas desagradáveis.

Video: Como encontrar o melhor servidor DNS para acelerar sua conexão

Você pode fornecer redundância DNS de duas maneiras:

  • Senhor de escravos: Na relação DNS master / slave tradicional, (um ou mais) os dados da zona de carga servidores escravos DNS do servidor mestre no arranque e em intervalos especificados no início de autoridade (SOA) de cada zona. Este método de redundância tem uma enorme vantagem: Quando um arquivo de zona é alterado, as alterações são automaticamente propagadas para os servidores escravos. Este processo acontece normalmente assim que as alterações são feitas se o recurso DNS NOTIFY é suportado, e acontece após o intervalo de tempo no registro SOA se notificação não é suportado.
    A relação servidor DNS mestre / escravo tem uma desvantagem também: Se o mestre vai para baixo, o escravo é reiniciado, e os dados da zona não podem ser transferidos. Além disso, se o mestre vai para baixo e não é restaurada quando o registro DNS se torna obsoleto (porque não pode atualizar a partir do servidor master), a zona não está mais acessível.
  • mestre múltipla: Se você está mais preocupado com ter DNS disponível em todos os momentos, em vez de ter a conveniência proporcionada por uma configuração master / slave, você pode usar uma configuração de mestre múltiplo. Este conceito é simples: Todos os servidores DNS são servidores mestres para cada zona. A parte mais difícil de ter vários servidores DNS mestre vem quando é feita uma alteração para um arquivo de zona ou a configuração DNS. A alteração deve ser feita a cada servidor DNS mestre e não é propagada automaticamente.

Não ponha todos os ovos em uma cesta

A localização dos servidores DNS é importante para uma série de razões. (Esta seção se sobrepõe ligeiramente com as duas seções anteriores.) A maioria dos ambientes de usar dois servidores de DNS - um mestre e um escravo ou dois mestres se eles estão apenas o Caching - embora não há limites para o número de servidores que você pode ter.

Video: Servidor DNS - FreeBrs

Você deve considerar duas questões distintas, mas relacionados para a localização do servidor DNS:

  • Colocação em relação a um firewall: Na maioria dos casos, os servidores DNS internos são colocados na rede interna, e servidores acessíveis externamente são colocados na zona desmilitarizada (DMZ) do corta-fogo, que é segura, mas também acessível a partir da rede pública. Se você tem apenas um conjunto de servidores DNS para o DNS interno e externo (embora esse arranjo não é recomendado), você deve colocá-los na DMZ e têm utilizadores internos acessá-los a partir da rede interna, em vez de colocá-los na rede interna e abrir um buraco em seu firewall para solicitações de DNS externos.
  • Colocação em seus segmentos de rede geograficamente ou de alguma outra forma lógica: Você tem um número de razões para colocar seus servidores DNS em segmentos de rede separados e locais separados -Principalmente, redundância. Se um segmento de rede vai para baixo, ou mesmo um local inteiro é perdido por causa de um desastre de algum tipo, você ainda pode fornecer o serviço de DNS. Além disso, os aumentos de desempenho para servidores DNS internos podem resultar se você configurar sistemas para usar o servidor DNS local em primeiro lugar e usar o servidor DNS remoto se o servidor local é baixo. Ter pelo menos um servidor DNS interno em cada localização geográfica é uma prática comum.

Publicações relacionadas
Conceitos de dns para servidor leão
Como sincronizar o tempo em preparação para servidor leão implantação diretório aberto
O papel do servidor lion em uma implantação diretório aberto
Diretórios e domínios locais e compartilhadas no servidor leão
Visão de diretório aberto do servidor leão
Pré-requisitos para o serviço ichat do servidor leão
Pré-requisitos para ligação de seu servidor leão para active directory
Registros de dns e linux
Como configurar zonas dns e registros em servidor leão
Como criar um registro mx no dns servidor leão
Como criar um servidores de réplica open directory usando administrador do servidor do leão
O triângulo mágico: open directory, active directory e servidor de leão
Filtrando a web com servidores proxy
Vulnerabilidades de segurança baseadas em servidor
Os tipos comuns de registros de recursos de domínio serviço de nome
Empresa de segurança de dispositivos móveis: e-mail recomendações de acesso
Dicas para configurar servidores de rede e as janelas 2016 os
E sobre os x server?
Como proteger seu servidor
Firewalls de rede: defesa de dados com o dmz